Спецпроекты

Через умные телевизоры Sony можно взломать домашнюю сеть

2227
Стратегия безопасности Пользователю Техника
Три уязвимости в смарт-телевизорах Sony Bravia допускают запуск произвольного кода, получать доступ к структуре папок на их накопителях или атаковать другие устройства в локальной сети.

И всё из-за фотографий

Эксперты по безопасности из компании Fortinet выявили три уязвимости в смарт-телевизорах серии Sony Bravia. Как минимум один из этих «багов» является критическим.

Уязвимости были выявлены экспертами Fortinet ещё в марте 2018 г. Информация о них стала публичной только сейчас, после выпуска Sony надлежащих патчей.

Наиболее серьёзной является уязвимость CVE-2018-16593, допускающая инъекцию команд в проприетарном приложении Sony Photo Sharing Plus. Это приложение позволяет просматривать фотографии, сделанные или просто располагающиеся на смартфонах и планшетах разных производителей, на экране смарт-телевизоров Sony.

Как пояснили эксперты, приложение некорректно обрабатывает имена загруженных медиафайлов. Злоумышленник может этим воспользоваться для подачи произвольных команд системе, что в конечном счёте допускает удалённый запуск произвольного кода или повышения привилегий до уровня root.

sonybravia600.jpg
«Дыры» в смарт-ТВ Sony Bravia позволяют запускать произвольный код и атаковать другие устройства в локальной сети

Как следствие смарт-телевизор может стать частью ботнета или превратиться в «трамплин» для атак на другие устройства в той же локальной сети.

Условием для успешной атаки является пребывание потенциального злоумышленника в той же локальной сети, что и уязвимый телевизор.

Две другие уязвимости также затрагивают приложение Photo Sharing Plus. Степень их угрозы высокая, но не критическая.

Некритичные, но…

Первая из них - CVE-2018-16595 - может приводить к нарушению целостности данных в оперативной памяти вследствие недостаточной проверки вводимых пользователем значений.

Вторая уязвимость - CVE-2018-16594 - относится к классу «обход каталога». Она связана с некорректной обработкой имён файлов. Злоумышленник может загрузить в систему файл со специальным именем и получить доступ ко всем файлам в системе.

Уязвимости затрагивают восемь моделей Sony Bravia: R5C, WD75, WD65, XE70, XF70, WE75, WE6 и WF6.

Эксперты Fortinet утверждают, что установка обновлений на телевизоры Bravia требует отдельного одобрения пользователя. В Sony, однако, настаивают, что все обновления устанавливаются автоматически.

Смарт-телевизоры Bravia - далеко не первые устройства подобного рода, в которых обнаруживаются серьёзные уязвимости, в том числе, допускающие запуск произвольного кода или даже захват контроля над всем устройством. Ранее в этом году эксперты упоминали подобные уязвимости в смарт-телевизорах Samsung и TCL. Вполне вероятно, что сходные проблемы встречаются и у других производителей.

«Смарт-телевизоры как класс имеют много черт, которые роднят их с другими устройствами «интернета вещей», и в хорошем, и в плохом смысле, - отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Общей проблемой для «интернета вещей» является довольно поверхностное отношение разработчиков смарт-устройств к безопасности программных оболочек и встроенных приложений. Как следствие, эти устройства оказываются наилучшим кандидатом на роль «точки входа» в локальную сеть для киберзлоумышленников».



Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка

Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития